작성한 질문수 18

5

안녕하세요, 이도원입니다.

Request Header에서 Cookie를 삭제하지 않으면, user-service와 같은 애플리케이션에서 Cookies를 추가하여 Response body에 저장된 정보가 있을 경우, Cookie가 계정 존재하게 됩니다. XSS 등의 공격이 될 수도 있습니다. 

    @GetMapping("/welcome")
    @Timed(value="users.welcome", longTask = true)
    public String welcome(HttpServletRequest request, HttpServletResponse response) {
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            Arrays.stream(cookies).forEach(cookie -> {
                System.out.print(cookie.getName() + "=" + cookie.getValue());
            });
        }
        Cookie c1 = new Cookie("myuser_token", "abcd1234");
        response.addCookie(c1);

//        return env.getProperty("greeting.message");
        return greeting.getMessage();
    }

위 화면에서 보시는 것처럼, Postman의 Cookies 탭에 user-service에서 저장한 쿠키 정보가 보입니다. (위 예제를 실행하기 위해, api-gateway에서 RemoveRequestHeader=Cookie를 적용하지 않았습니다)

반대로, RemoveRequestHeader=Cookie를 적용하게 되면, 같은 페이지를 요청하더라도 해당 Cookie 정보가 남아있지 않게 됩니다. 

답변1) "매번 새롭게 요청"이라는 의미는 쿠키 정보와 같이 Response Body에 어떤 정보도 남기지 않고, 새로운 Request Header로 요청한다는 의미입니다. 

답변2) 위에서 설명 드린바와 같이, 쿠키 정보가 남아 있을 수 있습니다. 

답변3) RemoveRequestHeader=Cookie 도 Optional 설정이기 때문에, 필요에 따라서 설정 하시면 될 것 같습니다. 이로 인한 문제점은, Cookie 정보의 악용이 있을수 있으며, 반대로, 매 요청 마다 쿠키를 삭제함으로써, 중요한 정보는 아니더라도, 간략한 Cookie 정보를 통해, 같은 요청을 전달해야 할 경우에도 매번 새로운 요청이 발생한다는 점이 될 것 같습니다. 

감사합니다.